- CoinShares calcula que solo unos 10.200 BTC son objetivos rentables para un ataque cuántico hoy.
- La mayoría del riesgo se concentra en direcciones antiguas con claves públicas expuestas, ligadas a la era inicial de Bitcoin.
- La comunidad se divide entre quienes ven la amenaza como lejana y quienes piden prepararse ya con criptografía poscuántica.
- La estructura básica de Bitcoin (límite de 21 millones y prueba de trabajo) no podría ser alterada por la cuántica.
La irrupción de las computadoras cuánticas se ha convertido en uno de los temas que más ruido genera alrededor de Bitcoin. Entre advertencias, informes técnicos y discusiones en redes, se ha instalado la idea de que un avance repentino en esta tecnología podría poner patas arriba al mercado de las criptomonedas.
Un nuevo análisis de la firma de gestión y análisis de activos digitales CoinShares rebaja de forma notable ese temor: según sus cálculos, de todo el suministro vulnerable a la criptografía cuántica, solo alrededor de 10.000 bitcoins serían realmente interesantes para un atacante. Aun así, voces del ecosistema discrepan con esta lectura y avisan de que el problema podría ser mucho más grande de lo que sugiere la gestora.
CoinShares: una amenaza muy acotada y lejos de ser sistémica
En su informe más reciente, el responsable de investigación sobre Bitcoin en CoinShares, Christopher Bendiksen, calcula que unos 1,6 millones de BTC se encuentran en direcciones con características que, en teoría, podrían ser explotadas por algoritmos cuánticos como el de Shor o el de Grover. Sin embargo, solo unos 10.200 BTC (en torno al 0,05% del suministro total) tendrían el suficiente volumen y concentración como para merecer la pena desde el punto de vista económico de un ataque.
De acuerdo con Bendiksen, algo más de 7.000 BTC se agrupan en monederos con saldos de entre 100 y 1.000 bitcoins, mientras que unos 3.200 BTC adicionales están en direcciones con entre 1.000 y 10.000 BTC. A precios actuales, este conjunto de fondos rondaría los 700 millones de dólares, una cifra que CoinShares describe como asumible para el mercado, hasta el punto de compararla con una operación de gran tamaño pero rutinaria.
El resto del pastel cuántico está compuesto por unos 1,62 millones de BTC repartidos en direcciones con menos de 100 monedas. CoinShares sostiene que, incluso en un escenario extremadamente optimista para la computación cuántica, descifrar uno por uno estos pequeños saldos sería un proceso tan lento que resultaría antieconómico, llegando a estimar que podría llevar del orden de un milenio completar un barrido total.
En todo caso, la firma subraya que incluso un avance cuántico capaz de explotar ciertas claves no podría modificar reglas fundamentales como el límite máximo de 21 millones de bitcoins o el funcionamiento de la prueba de trabajo (proof of work). La posible amenaza se concentra en direcciones concretas y no en la arquitectura básica del protocolo.
Dónde está realmente el riesgo: las direcciones antiguas y las claves expuestas
El análisis de CoinShares apunta a un tipo de direcciones muy específico: las conocidas como Pay-to-Public-Key (P2PK). En estos primeros formatos de monedero, empleados en la era Satoshi y los primeros años de Bitcoin, la clave pública permanece visible en la cadena de bloques desde el momento en que se reciben los fondos, lo que abre la puerta —en teoría— a que un ordenador cuántico obtenga la clave privada correspondiente.
En contraste, las direcciones actualmente más usadas, como P2PKH o P2SH, ocultan la clave pública tras una función hash. Esta solo sale a la luz cuando quien gestiona la billetera firma una transacción para gastar sus monedas. Esa estructura convierte la situación en una carrera contrarreloj de unos 10 minutos: el tiempo medio que tarda la red en minar un bloque y confirmar la operación.
Para que un atacante cuántico pudiera robar fondos en ese contexto, debería romper la criptografía en esa pequeña ventana, antes de que la transacción firmada sea incluida en un bloque válido. Según CoinShares, estamos todavía a décadas de ver una máquina capaz de realizar ese tipo de cálculos con la velocidad y estabilidad necesarias.
La firma también considera que muchas de las estimaciones más alarmistas sobre el porcentaje de bitcoins en riesgo confunden exposiciones temporales con vulnerabilidad real. A su juicio, prácticas relativamente sencillas como evitar la reutilización de direcciones reducen significativamente la superficie de ataque, especialmente en el caso de grandes custodios y plataformas de intercambio con usuarios en Europa y el resto del mundo.
¿Cuántos cúbits harían falta para atacar Bitcoin?
Una de las claves del informe de CoinShares es su evaluación sobre la capacidad técnica necesaria para que un ataque cuántico pase de la teoría a la práctica. La firma sostiene que romper de forma fiable los esquemas de firmas utilizados por Bitcoin —ECDSA y Schnorr— requeriría del orden de millones de cúbits tolerantes a fallos. Esta cifra se sitúa varios órdenes de magnitud por encima de los sistemas experimentales actuales.
Como referencia, el último prototipo presentado por Google, conocido como Willow, se sitúa en torno a los cien cúbits físicos. Pero más cúbits no significa automáticamente más potencia útil: para ejecutar algoritmos complejos de manera estable hace falta un gran número de cúbits lógicos con corrección de errores, lo que implica una infraestructura física inmensamente mayor.
En ese contexto, CoinShares ubica la llegada de ordenadores cuánticos capaces de representar una amenaza práctica para Bitcoin en un horizonte de la década de 2030 o incluso más tarde. Y eso, además, sin tener en cuenta que la comunidad podría ir adaptándose por el camino, incorporando esquemas de criptografía poscuántica cuando estén plenamente probados.
El informe también resta recorrido a propuestas radicales como quemar o invalidar monedas vulnerables mediante una bifurcación dura, ya que este tipo de cambios forzados podrían poner en cuestión la neutralidad de la red y los derechos de propiedad de los usuarios. CoinShares insiste en que una reacción precipitada podría acarrear más problemas que la propia amenaza cuántica.
Posturas enfrentadas: del «no hay prisa» al «vamos tarde»
La lectura relativamente tranquilizadora de CoinShares no ha convencido a todo el mundo. En el lado más escéptico hacia la amenaza cuántica se sitúan figuras como Michael Saylor o Adam Back, que consideran que el riesgo está siendo sobredimensionado y que la red dispone de margen de maniobra de varias décadas antes de que haya que plantearse medidas de calado.
En este grupo se alinea también el propio Bendiksen, que describe a Bitcoin como «muy lejos de territorio peligroso». Para ellos, el ritmo actual de progreso en computación cuántica no apunta a un salto inmediato que ponga en jaque la seguridad del protocolo, y cualquier adaptación debe hacerse con calma, evitando introducir algoritmos experimentales que puedan traer vulnerabilidades inesperadas.
En el extremo contrario destacan voces como la de Charles Edwards, fundador de Capriole Investments, que define la computación cuántica como una amenaza potencialmente existencial para Bitcoin si no se aborda a tiempo. Desde su perspectiva, la mera posibilidad de un avance tecnológico disruptivo justifica que el ecosistema empiece a migrar hacia soluciones poscuánticas antes de que sea tarde.
Edwards, y otros especialistas que comparten esta visión, sostienen además que una actualización bien diseñada que refuerce la seguridad podría terminar siendo positiva para la valoración de Bitcoin, al reducir una de las incertidumbres a largo plazo que más peso tienen en el debate público sobre su futuro.
Project Eleven y otros críticos: los números no cuadran
Entre las reacciones más duras al informe de CoinShares sobresale la de Project Eleven, una firma centrada precisamente en desarrollos cuánticos. Su director ejecutivo, Alex Pruden, acusa a la gestora de subestimar tanto la magnitud del problema como la urgencia de actuar, y plantea cifras muy diferentes sobre el volumen de bitcoins realmente en peligro.
Mientras CoinShares habla de en torno a 1,6 millones de BTC expuestos a posibles ataques cuánticos, Project Eleven estima que serían unos 7 millones de bitcoins en riesgo, es decir, cerca de un tercio del suministro en circulación. Esta diferencia se explica, en parte, por la forma de contar las direcciones que han revelado su clave pública al firmar transacciones, aunque conserven fondos residuales.
Pruden pone el foco en las direcciones atribuidas a Satoshi Nakamoto, que, según sus cálculos, agruparían más de un millón de BTC distribuidos en decenas de miles de UTXO potencialmente vulnerables. A esto se sumarían grandes direcciones de almacenamiento en frío de custodios e instituciones, así como carteras antiguas de exchanges que han reutilizado direcciones durante años.
Otros referentes del ecosistema, como el desarrollador Jameson Lopp o el investigador cuántico Yuvi Lightman, también han cuestionado diferentes aspectos del informe de CoinShares. Lopp reprocha que se deje fuera del recuento un número significativo de direcciones con claves públicas expuestas, mientras que Lightman sostiene que la estimación de 13 millones de cúbits físicos necesaria para quebrar la criptografía de Bitcoin podría ser exagerada y que, en realidad, bastarían «unos pocos miles de cúbits lógicos».
En cualquier caso, incluso los críticos más beligerantes coinciden en algo: el problema tiene solución técnica. El debate no gira tanto en torno a si Bitcoin puede adaptarse, sino en cuándo y cómo debe hacerse esa transición para minimizar riesgos y fricciones en una red sin autoridad central.
Hacia una Bitcoin poscuántica: adaptación gradual frente a cambios bruscos
Frente a las propuestas que reclaman medidas inmediatas y drásticas, CoinShares aboga por un camino de evolución defensiva progresiva. La idea sería seguir una estrategia similar a la que permitió incorporar las firmas Schnorr mediante una bifurcación suave (soft fork), sin romper compatibilidades ni forzar a todos los usuarios a actualizar de golpe.
Esta hoja de ruta contemplaría la introducción, en el futuro, de esquemas de firmas poscuánticas como una opción adicional dentro del protocolo. Los titulares de bitcoins podrían ir trasladando sus fondos voluntariamente a nuevas direcciones protegidas con estas técnicas, mientras que las claves antiguas mantendrían su validez durante un periodo de transición amplio.
Una estrategia así permitiría evitar soluciones de emergencia que puedan cuestionar principios muy arraigados en la comunidad, como la inmutabilidad de la cadena, la neutralidad de la red o la protección de la propiedad privada. También dejaría espacio para que la investigación criptográfica siga avanzando y se consoliden estándares poscuánticos robustos y auditados.
Para el usuario europeo medio, tanto minorista como institucional, esto se traduciría, llegado el momento, en procesos de migración coordinados por las carteras y los proveedores de servicios, de forma similar a lo que ha ocurrido en el pasado con otras mejoras técnicas de la red. La clave estará, como siempre, en gestionar bien las claves y evitar malas prácticas que aumenten innecesariamente la exposición.
Con todo este cruce de informes, cifras y opiniones encontradas, lo que sí parece claro es que la computación cuántica aún no representa un peligro inmediato para Bitcoin, pero tampoco es un tema que pueda dejarse en un cajón durante décadas. Hoy por hoy, solo una pequeña fracción de los bitcoins en circulación —en el entorno de los 10.000 BTC, según CoinShares— sería un objetivo rentable para un hipotético atacante cuántico, concentrado sobre todo en direcciones antiguas con claves expuestas. La discusión se desplaza, por tanto, hacia el calendario y la estrategia: entre quienes defienden aprovechar este margen para preparar con calma una transición poscuántica y quienes insisten en que cualquier complacencia podría dejar a la red sin tiempo de reacción si la tecnología avanza más rápido de lo previsto.
